Демон zeroconf mdnsd не запущен centos
Acpid — Advanced Configuration and Power Interface daemon. Как следует из названия, демон управляет питанием, но не является основным. Другими словами, можно отключить и посмотреть на реакцию системы. Если компьютер не сумеет уснуть или проснуться — включите обратно. Некоторые источники предлагают оставлять эту службу только на серверах.
Ахтунг! При работе без графики (консоль) этот сервис может потребоваться для функций ACPI, правда не известно каких.
Anacron — Вспомогательная служба для cron . Проверяет расписания cron 'а и запускает задачи, которые по каким-либо причинам не были выполнены в нужное время. Полезен если у вас есть задания для cron , не выполняющиеся постоянно — anacron обнаружит их в процессе загрузки. Бесполезен, если задания cron ( crond ) не используются или вам безразличен результат их выполнения.
Если вы отключили cron , то гасите и anacron . В противном случае лучше оставить.
Atd — Этот демон выполняет в указанное время команды, которые заданы планировщиком «at», а также запускает команды, заданные утилитой batch, используя для этого периоды низкой загрузки системы. Если вы не используете эти программы — гасите (что обычно и делают).
А.Ф. — Причём обязательно. Практика именно в Fedora показала, что при отключении его отказываются работать очень многие службы.
Avahi-Deamon — демон для работы со службами Zeroconf . Кто такие пока не знаю, да и вы, наверное, тоже. Гасить.
Ахтунг! Программа Pulse Audio использует данную службу под свои сетевые нужды (правда замечательно работает и без них).
Bluetooth — Блютусь он и есть блютусь. Искать и подключать устройства с одноимённым протоколом. В случае неиспользования блютус-устройств не нужен. Лучше включить его при необходимости, чем загружать постоянно.
Btseed и Bttrack — bt в данном случае означают BitTorrent. Т.е. данные службы используются для работы с так называемыми файлообменниками (искомые файлы ищутся не на определённых серверах, а на компьютерах различных пользователей). Если вы не знаете как именно ими пользоваться — выключайте, не сомневаясь.
А.Ф. — Кстати, их отключение ничуть не мешает пользоваться любым torrent-клиентом, проверено на практике.
ConsoleKit - это системный демон, который производит ряд действий, связанных с рабочим столом (взаимодействие пользователя с компьютером, быстрое переключение пользователей, автомонтирование устройств и т.д.).
Capi — служба работы с ISDN-устройствами. Почти никогда не нужен. См. службу ISDN.
Cpuspeed — служба контроля скорости процессора. Снижает частоту (энергопотребление) процессора в моменты простоя. Не имеет смысла если ваш процессор не умеет регулировать скорость. Обладателям же современных процессоров лучше включить.
Поддерживаемость функции легко проверить: выносим на видное место индикатор частоты процессора и ждём. Если скорости не меняются, вероятно и служба вам не нужна.
А.Ф. — ИМХО требуется только на ноутбуках, на десктопе никакой необходимости не вижу, и потому отключаю. Не смотря на современность процессора.
Crond — Cron deamon, служба автоматического выполнения в заданный момент времени каких-либо задач или команд. Мнения о его важности разделяются. По одной версии он имеет смысл для постоянно работающих машин, а если компьютер выключается после двух-трёх часов работы, демон вам не нужен. По другой версии плановый вынос мусора и тому подобное нужно всем и всегда. Рекомендую оставить.
А.Ф. — С некоторых пор я обнаружил, что регулярно выполняемые задания мне просто не нужны — нету их у меня, и всё. Поэтому отключаю и cron , и anacron .
Cups — сервер печати. Если есть принтер — оставьте, если не печатаете или печатаете редко — отключите.
Сups-config-daemon — демон настройки сервера печати через D-BUS. Можно выключить даже если вы печатаете постоянно. Настраивать принтер можно и без него.
DNSmasq — запускает сервер кэширования DNS (DNS caching server). Имеет смысл только на серверах, можно выключить.
Exim — агент переправки почты. Имеет смысл только на серверах, можно выключить.
Firstboot — служба перенастройки системы. Выполняется при первой загрузке, после этого отключается сама или вручную. Но отключается :)
Fuse — служба, позволяющая монтировать (подключать) файловые системы с использованием технологии Fuse . Например виртуальная файловая система GNOME использует Fuse для упрощения доступа к различным сетевым файловым системам. Рекомендуют оставлять включённой.
А.Ф. — В чём я не вижу ни малейшего смысла — использовать Fuse для реальной работы вряд ли оправданно, а для экспериментов с файловыми системами — подобно бегу в мешках. Исключение — если требуется доступ к данным OpenSolaris или FreeBSD на ZFS.
Gpm — поддержка мышки и выпадающих меню в текстовых приложениях (читай — консольных). Рекомендуется включить для третьего уровня загрузки (runlevel 3) и отключить для пятого (runlevel 5).
А.Ф. — Для меня служба консольной мыши — одно из самых ценных изобретений человечества. Но к рекомендации присоединяюсь — иногда (хотя в последние годы и крайне редко) gpm конфликтует с Иксами. Кстати, включение gpm требует установки соответствующего пакета — по умолчанию в Fedora его нет.
HALdeamon — служба сбора информации об аппаратном обеспечении. HAL (Hardware Abstraction Layer) — уровень абстрагирования от особенностей железок. Жизненно важная функция для ОС, отключать не рекомендуется.
А.Ф. — Не рекомендуется — мягко сказано.
А.Ф. — Необходима при локальном тестировании сайтов с динамическим контентом. А так — да, не нужна совершенно.
IPtables и IP6tables — простой файервол на основании списков и прав. Рекомендуется включить и настроить.
Irda — Infrared Data Association. Служба работы с инфракрасными портами. Если таких устройств нет — выключить.
Irqbalance — менеджер балансировки процессорной нагрузки. Включить, если в вашей системе несколько процессоров или многоядерный процессор. Иначе бесполезен.
Isdn — служба работы с ISDN-устройствами. Почти никогда не нужен. См. службу Capi.
Kerneloops — служба сбора информации о сбоях ядра системы. Если вы не намерены помогать разработчикам ядра, выключайте.
Lm_sensors — служба работы с датчиками материнских плат. Собираемые данные можно посмотреть через GKrellM. Если вам безразлично состояние вашего компьютера, или материнская плата таких датчиков не имеет — выключайте.
Mdmonitor — служба наблюдения за RAID и LVM. Можно смело выключать.
Microcode_ctl — позволяет использовать микрокоды патчей для процессоров Intel. Данная технология стала использоваться лишь с появлением 686-х процессоров. Бесполезен, если процессор не intel'овский или более ранней архитектуры.
Multipathd — служба наблюдения за устройствами, доступ к которым может осуществляться более чем одним контроллером или методом. Можно выключать.
Netconsole — позволяет заходить на компьютер по сети без использования графического режима. Может пригодиться для удалённого администрирования, но почти всегда можно отключать.
Netfs — позволяет работать с сетевыми файловыми системами. Удобен, если при загрузке системы надо подключать сетевые папки. Можно отключать.
Netplugd — менеджер динамических сетевых интерфейсов. Умеет информировать об изменении состояний подопечных. Можно отключать.
Network — служба отвечает за пуск/выключение сетевых интерфейсов. Отлично справляется, если сеть не нуждается в частой перенастройке. В противном случае лучше выключить её и использовать NetworkManager .
См. службу NetworkManager .
Nfs — служба для сетевого доступа по TCP/IP между Unix/Linux/BSD пользователями. Если меняться данными не с кем, выключайте. Если есть с кем меняться — всё равно можно отключить, обмен данными по ssh предпочтительнее.
Nfslock — вспомогательная служба NFS. При выключенном nfs не имеет смысла. Можно смело отключать.
Nscd — Name Switch Cache Deamon — обрабатывает запросы, связанные с паролями и группами. Имеет смысл лишь если постоянно задействованны сетевые службы (NIS, NIS+, LDAP и т.д.), а пропускная способность сети оставляет желать лучшего. Можно смело отключать.
Ntpd и Ntpdate — синхронизаторы времени (Network Time Protocol Deamon/Date). Можно смело выключать, пока где-то не потребуется синхронизация. Для постоянного использования достаточно любой одной службы.
А.Ф. — Демона Ntpd следует использовать при постоянном подключении к сети. Ntpdate использовался обычно при модемном соединении. Можно настроить так, чтобы синхронизация выполнялась в момент подключения к Сети. И то, и другое — не жизненная необходимость, но некий дополнительный комфорт. Хотя на старых мамах с впаяными батарейками может быть и необходимостью - если "железные" часы постоянно слетают. Я использую ntpd .
Openvpn — позволяет использовать все прелести библиотеки OpenSSL для безопасного тунеллирования сетей IP через UDP порт. Можно отключать.
Pcscd — служба для работы со смарт-картами и кард-ридерами. Если вы таковыми не пользуетесь постоянно — смело отключайте.
Portreserve — утилита резервирования портов. Пусть работает, если только вы не будете абсолютно уверены в её ненадобности.
Psacct — Аудит процессов. Можно отключать.
Rdisc — служба поиска роутеров в локальной сети. Можно отключать.
Restorecond — служба восстановления и контроля файлов. Активно используется встроенным файерволом SELinux. Если им не пользуетесь, можно выключать.
Rpcbind — вспомогательная программа для удалённого вызова процедур. Используется, например для NFS и NIS. Рекомендуется оставить для начала, после полной настройки системы — отключить. Если работоспособность не будет утрачена, значит он вам не нужен :)
Rpcgssd , rpcidmapd , rpcsvcgssd — три службы для работы с NFS v4. Если вы этим не пользуетесь (или не знаете что это) — выключайте все три.
Rsync — расширение возможностей FTP-сервера. Можно отключать, если не используете.
Russianfedoraconf — дополнительная настройка системы при первом запуске. Аналогична firstboot (т.е. можно выключать).
Setroubleshoot — служба наблюдения за встроенным файерволом SELinux на предмет сбоев и ошибок. Если вы не используете SELinux , не желаете помогать разработчикам или вам безразлична стабильность его работы — выключайте.
Smartd — служба наблюдения за жёсткими дисками. Если вам безразлично состояние хранителей вашей информации или вы не доверяете технологии SMaRT — выключайте.
Smolt — служба ежемесячной отправки статистической отчётности разработчикам Fedora. Если вы не желаете помогать разработчикам, выключайте.
Snmpd и snmptrapd — Simple Network Management Protocol (SNMP). Может вы и будете использовать этот протокол, но пока можно смело гасить обоих демонов.
Sshd — служба, необходимая для использования OpenSSH. Позволяет заходить на компьютер по сети без использования графического режима. Может пригодиться для удалённого администрирования, в прочих случаях бесполезен.
Udev-post — служба, необходимая для udev, на котором основывается работа ОС с подключаемыми устройствами. Эта служба должна работать.
Winbind — служба, связанная с Samba. Смело выключайте, если вы не танцуете :)
wpa_supplicant — служба подключения к беспроводным сетям. Если не пользуетесь ими, можно смело выключать.
Ypbind — служба для входа на компьютер сетевых пользователей. Если вы пользуетесь только локальными, отключайте.
Zvbid — Служба, организующая доступ нескольких приложений к одному VBI-устройству. Почти всегда можно отключать.
Я, как старый линуксоид, когда впервые установил Ubuntu и увидел незнакомое слово avahi, конечно же сразу посмотрел в google. Потыкался в несколько ссылок, увидел другие непонятные слова, типа zeroconf, multicast dns, bonjour. Сразу понял, что это какая то мутная технология от Apple и нафиг мне ненужная.
Однако, с ростом локальной сети внутри моей квартиры, подумал, что неплохо бы было полюбопытствовать, как можно приспособить zeroconf, чтобы облегчить себе жизнь.
-
— это протокол, разработанный Apple и призванный решать следующие проблемы:
- выбор сетевого адреса для устройства;
- нахождение компьютеров по имени;
- обнаружение сервисов, например принтеров.
Для разрешения имен (name resolving) используется протокол Multicast DNS или сокращено mDNS. Он позволяет устройству выбрать имя в зоне .local. Работает это почти как обычный DNS, но с нюансами. Каждый компьютер хранит записи своей зоны ( A , MX , SRV ) сам и сам же обслуживает запросы к ним. Когда какой либо компьютер хочет узнать запись зоны, скажем определить IP-адрес по имени (получить запись A для заданной зоны), он обращается по multicast-адресу 224.0.0.251 . Соответственно, запрос получают все компьютеры в локальной сети, а отвечает тот, кто хранит зону для интересующего нас имени.
Для поиска и обнаружения сервисов используется протокол DNS based Service Discovery или DNS-SD. Для того, чтобы прорекламировать, какие сервисы доступны на устройстве, используются DNS-записи типа SRV , TXT , PTR .
- Поставить пакеты avahi-daemon , avahi-autoipd , libnss-mdns . Если у вас стоит Ubuntu, то скорее всего эти пакеты уже установлены.
- Включить IPv4LL. Этот шаг совершенно не обязателен. Если у вас есть любой IP-адрес, который нормально маршрутизируется в локальной сети, то использовать IPv4LL не нужно и даже вредно, так как по стандарту, маршрутизатуры не должны форвардить пакеты с link-local адресами ( 169.254.* ). Иными словами, пробросить интернет через NAT скорее всего не удастся (мне не удалось). Но если вы уж решились, то достаточно для сетевого интерфейса локальной сети, в файле /etc/network/interfaces поставить тип ipv4ll . Что-то типа такого:
У меня есть HTPC / Media Server на базе Ubuntu 16.04 , работающий 24/7 . Насколько я помню, используя официальный дистрибутив Ubuntu, у меня всегда были проблемы с avahi-daemon . Проблема довольно часто обсуждается в Интернете. Некоторые люди решают просто удалить демона, однако мне это действительно нужно, так как я использую сервер CUPS и использую Kodi в качестве приемника AirPlay.
Проблема
Симптомы просты - примерно через 2-4 дня бездействия сетевое соединение обрывается, и это регистрируется
Сеть будет идти обратно без проблем , если вы физически подключиться к Ethernet разъема, или если вы подключите программное обеспечение на сторону.
Возможные решения
1.) Отредактируйте /etc/nsswitch.conf из
2.) Изменить /etc/avahi/avahi-daemon.conf
3.) «Попросить администратора переместить зону .local» (как сказано в вики)
Что я сделал
Первое решение не явился на работу для меня - демон по- прежнему работает, однако, сеть будет идти вниз точно так же , как и раньше (чтобы быть справедливым, на вики это действительно говорит , « У нашего M ileage M ау V ичных»)
Второе решение приводит к тому , демон, казалось бы функционировать должным образом (ничего плохого , если вы посмотрите на журналы) , но устройства IOS не «видеть» машину в качестве принтера или AirPlay (ресивера, а также ITunes на моей машине Windows)
Третье решение сложно, потому что я не очень хорошо разбираются в «тонкостях» о том , как функционирует сеть; и я не уверен, что я действительно попробовал это. Вот что я имею в виду: на моем маршрутизаторе Asus под управлением Asuswrt-Merlin я вошел в подкатегорию настроек / LAN / DHCP Server / Basic Config. Там я установил « Доменное имя RT-AC68U » как «lan» (доменное имя, которое я посоветовал в Интернете, потому что оно не конфликтует ни с чем, в отличие от «локального»). Насколько я понимаю, это то, что означает « перемещение локальной зоны ». Если это на самом деле правильно, то это решение не работает и для меня.
Заключение
Так что я должен делать? Я борюсь с этой проблемой уже более 4 месяцев, и каждый ответ в Интернете сводится к тем, которые я уже пробовал; честно говоря, я полностью потерян. Заранее спасибо!
Это перевод статьи Марка Э. Хааса, впервые опубликованной в блоге Hyperion Gray. Перевела Алёна Георгиева.
Что такое mDNS?
Официальные сайты Multicast DNS и DNS Service Discovery способны скорее запутать, чем пролить свет на суть этих технологий. Поэтому — прежде чем погружаться в вопросы безопасности mDNS и DNS-SD — мы обсудим, почему вообще эти протоколы существуют и чем они на самом деле занимаются.
Оба протокола являются частью Zeroconf — пакета технологий, который помогает сетевым устройствам находить друг друга автоматически. Когда ты отправляешь документ на печать, а твой компьютер сам предлагает на выбор ближайшие принтеры, скорее всего, он использует именно Zeroconf. Протоколы связаны с DNS, так что здесь нужно хотя бы на базовом уровне понимать, как устроена система DNS.
Обычно DNS работает «одноадресно» (unicast) — это значит, что каждый запрос отправляется на конкретный IP-адрес. Слово multicast (то есть «многоадресность») в mDNS означает, что запрос веерно рассылается всем девайсам широковещательного домена (broadcast domain). Сам по себе термин «широковещательный домен» означает, грубо говоря, все сообщающиеся устройства второго уровня — например, компьютеры, соединенные сетевыми коммутаторами. Это важный момент, ведь запросы mDNS не проходят через роутеры — потому что роутеры уже устройства третьего уровня.
Разберемся на примере. Мой MacBook Pro имеет в системе mDNS имя MehBook.local . Выяснить это можно во вкладке «Общий доступ» (Sharing) системных настроек.
Чтобы вычислить IP макбука, мы можем использовать инструмент DNS-запросов вроде dig :
$ dig @224.0.0.251 -p 5353 +short MehBook.local
10.105.0.203
Обрати внимание, что имя заканчивается на .local — это домен верхнего уровня, зарезервированный специально под mDNS. Если ты видишь подобное имя — то, вероятно, сможешь вычислить айпишник, используя mDNS. Такие доменные имена называются именами локальной связи (link-local names), потому что увидеть их можно только внутри локальной сети.
Имей в виду: некоторые сисадмины некорректно используют местный домен верхнего уровня вместе с одноадресным DNS. Следи за собой, будь осторожен!
Вместо того чтобы посылать запрос DNS-серверу на порт 53, мы используем порт 5353 и специальный адрес 224.0.0.251 — собственно, мультикастомный. Этот конкретный адрес зарезервирован специально для mDNS. Когда на адрес 224.0.0.251 приходит запрос, все устройства сети получают копию этого запроса и могут на него ответить. В нашем примере мой макбук увидел запрос и вернул по нему свой собственный айпишник — 10.105.0.203 .
IP моего макбука динамический, через какое-то время он поменяется — а вот mDNS-имя останется прежним! Так что мы можем взаимодействовать с доменными именами без запуска DNS-сервера. Сам понимаешь, чем это полезно в домашних и небольших офисных сетях.
Что такое DNS-SD?
В примере с mDNS мы выясняли айпишник устройства с уже известным именем. Но что, если ты хочешь связаться с девайсом, имя которого не знаешь, — например, с принтером? Эту проблему как раз и решает протокол обнаружения сервисов (Service Discovery). Он позволяет устройствам заявлять о конкретных сервисах, которые они предлагают, — так, чтобы можно было обнаружить их без централизованной настройки.
Начнем с вычисления принтеров:
Тут нам помогут те же мультикастомный DNS-адрес и порт, но на сей раз мы запрашиваем PTR-записи и используем специальное доменное имя _printer._tcp.local — оно как раз предназначено для распознавания принтеров. В ответ на этот запрос мой принтер Brother вернул свое локальное доменное имя.
Если ты хочешь запросить устройства с другими сервисами, то стоит свериться с их официальным реестром. Например, там есть любопытная служба RAOP — она же протокол Apple, известный как AirTunes. Давай-ка его вычислим:
Запрос показывает устройство в моей сети, предлагающее сервис RAOP, — это Apple TV под названием «Гостиная» (Living Room). На самом деле в моей сети два Apple TV, но dig выводит только первый полученный ответ. К счастью, есть инструменты и получше. На macOS это команда dns-sd в программном модуле Rendezvous (Bonjour), эппловской реализации Zeroconf.
Эта команда разошлет запрос и отобразит все полученные ответы (чтобы избавиться от них, нужно будет нажать Ctrl-C). Теперь мы видим оба моих Apple TV.
На Linux тот же набор инструментов предлагает пакет Avahi (на Debian/Ubuntu он называется avahi-utils ).
$ avahi-browse _raop._tcp
+ IPv6 D0D2B0XXXXXX@Bedroom AirTunes Remote Audio local
+ IPv6 C8D083XXXXXX@Living Room AirTunes Remote Audio local
+ IPv4 D0D2B0XXXXXX@Bedroom AirTunes Remote Audio local
+ IPv4 C8D083XXXXXX@Living Room AirTunes Remote Audio local
^C
Avahi умеет переводить имена служб типа _raop._tcp.local в более понятные — AirTunes Remote Audio local , например. Также Avahi может вычислить айпишник с помощью mDNS, так что dig здесь вообще не нужен:
Обрати внимание, что при mDNS-запросе мы не вставляем значения типа _raop._tcp — потому что это название службы, а не устройства. Также мы ничего не пишем слева от символа @ .
Вычисляем устройства
Теперь ты видишь, чем пакет Zeroconf интересен пентестерам: благодаря ему можно быстро найти целый список доступных устройств буквально за пару запросов. А Avahi еще и позволяет автоматизировать этот процесс. Например, вполне реально упаковать обнаружение сервисов и пробивание IP через mDNS в один шаг.
$ avahi-browse --resolve _printer._tcp
+ enp4s0 IPv4 Brother DCP-L2540DW series UNIX Printer local
= enp4s0 IPv4 Brother DCP-L2540DW series UNIX Printer local
hostname = [brotherB85F3190.local]
address = [10.105.0.3]
port = [515]
txt = ["UUID=e3248000-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
"TBCP=F" "Transparent=T" "Binary=T" "PaperCustom=T"
"Scan=T" "Fax=F" "Duplex=T" "Copies=T" "Color=F" …]
^C
В результате мы получаем локальное имя хоста, IP-адрес и порт ( tcp/515 — дефолтный порт для Line Printer Daemon). Плюс много информации о возможностях принтера в поле txt .
Использованная здесь команда — отличный способ пересчитать все устройства конкретного типа, однако Avahi способен на большее! Следующая команда вычисляет вообще все типы сервисов сразу.
$ avahi-browse --all
+ IPv6 8FB20F14F5966F78620XXXX iPod Touch Music Library local
+ IPv6 276A1455BC533567B08XXXX iPod Touch Music Library local
+ IPv4 8FB20F14F5966F78620XXXX iPod Touch Music Library local
+ IPv4 276A1455BC533567B08XXXX iPod Touch Music Library local
+ IPv6 8FB20F14F5966F78620XXXX _appletv-v2._tcp local
+ IPv6 276A1455BC533567B08XXXX _appletv-v2._tcp local
+ IPv4 8FB20F14F5966F78620XXXX _appletv-v2._tcp local
+ IPv4 276A1455BC533567B08XXXX _appletv-v2._tcp local
^C
Наконец, Avahi может слушать запросы по протоколам Zeroconf от других устройств, что позволяет вычислять девайсы фоново.
$ avahi-browse -a
+ IPv6 MehBook _companion-link._tcp local
+ IPv6 Bedroom _companion-link._tcp local
+ IPv6 Living Room _companion-link._tcp local
+ IPv4 MehBook _companion-link._tcp local
^C
Обе эти команды можно сочетать с --resolve , чтобы получить информацию об айпишниках и портах каждого девайса. Все устройства сети как на ладони!
И конечно, нельзя не упомянуть, что Nmap поддерживает вычисление устройств Zeroconf с помощью скрипта broadcast-dns-service-discovery.
Этот скрипт не включен в категорию default — его можно найти только в safe .
Немного об ограничениях
- Это работает только внутри локальной сети, так что нужно иметь к ней доступ.
- Большие корпоративные сети обычно сегментированы, поэтому потребуется опорная точка именно внутри интересующего тебя сегмента.
- Есть много важных служб, которые не заявляют о себе через DNS-SD, — такие устройства в большинстве случаев придется вычислять как-то иначе.
- Из-за того, что это широковещательные протоколы, нужно хорошенько подумать — позволяют ли твоя тактика и стратегия их использовать?
Эксплуатация
Окей, вычисление устройств — это прикольно и все такое, но есть ли здесь что поэксплуатировать? Мы нашли связку принтеров и Apple TV — и.
Во-первых, держи в уме, что продукты для домашней и небольшой офисной сети, использующие Zeroconf, с высокой вероятностью имеют неправильные настройки и уязвимости. Один простой пример: если принтер аутентифицируется через LDAP-сервер, а у того стоит дефолтный пароль производителя, ты можешь захватить контроль над сервером, заставить принтер к нему обратиться и таким образом украсть LDAP-аттестат принтера. Этим способом можно довольно быстро угнать доменный аккаунт!
Продолжение доступно только участникам
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Начинаем затяжную борьбу с сервисами
Почему затяжную? Потому что компания RedHat с упорством, достойным самого упрямого ишака, втюхивает в каждую новую версию ОС новые сервисы, видимо, совершенно не задумываясь, какое влияние они оказывают на скорость, стабильность получаемой системы и ее безопасность (иными словами - взломоустойчивость).
Иногда возникает даже такой вопрос - а видели ли когда-либо разработчики Redhat современные дата-центры, где стоят серверы с установленными RHEL, CentOS и т.д.?
Похоже, что нет, иначе бы они не впихивали в свои ОС такие сервисы, как Bluetooth, CUPS или WiFi, часто тесно переплетенные с другими программными компонентами, которые там сто лет не нужны.
Таким образом, борьба будет перманентной, по мере выхода новых версий ОС.
Почему именно в CentOS? Потому что с таким глюкавым и глюкавеющим год от года экспериментальным поделием, как Fedora, которому радуются только любители адреналина, не работаю уже несколько лет, и рад этому несказанно.
RedHat Enterprise - другое дело. Но поскольку RHEL платный, из его клонов остается CentOS или Scientific Linux.
Будем из него готовить сервер с минимальным количеством сервисов.
Отметим общеизвестную истину, что чем меньше в системе работает сервисов, то тем меньше в ней всяческих ошибок и лазеек для взлома, что очень критично для серверов, работающих в открытой сети Internet, занимаемой памяти (а также ее утечек), конфликтов программ, а также выше скорость загрузки системы.
Из этого и будем исходить, и следовательно, мочить эти сервисы, где только можно.
Поскольку одному одолеть эти сервисы затруднительно, поэтому хорошо, если кто-то присоединится.
Примечание . Можно пойти по другому пути - установить систему из минимизированного дистрибутива netinstall, но тут, как говорится, о вкусах не спорят, заодно немного изучим сервисы.
Читайте также: